CVE-2026-43625
MediumCVSS 5.9Summary
CodexBar w wersjach przed 0.32.0 zawiera podatność na wyciek ciasteczek sesyjnych, która umożliwia atakującym przechwycenie importowanych ciasteczek sesyjnych przeglądarki. Wykorzystując niewłaściwe zarządzanie przekierowaniami dla sesji dostawców Amp i Ollama, atakujący mogą przechwycić żądania HTTP w postaci niezaszyfrowanej.
Risk Assessment
Organizacje mogą być narażone na przechwytywanie wrażliwych danych sesyjnych, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników. Wyciek ciasteczek sesyjnych stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych.
Recommendation
Zaleca się aktualizację CodexBar do wersji 0.32.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć zabezpieczenia, takie jak użycie HTTPS dla wszystkich przekierowań.
Original NVD description (English source)
CodexBar prior to 0.32.0 contains a session cookie leakage vulnerability that allows network attackers to intercept imported browser session cookies by exploiting improper redirect handling for Amp and Ollama provider sessions. Attackers can position themselves on the network path to receive cleartext HTTP requests carrying imported session cookies when a provider-controlled redirect target issues a redirect to a cleartext HTTP endpoint within the same provider domain.

